服务器主动防护

　　随着网络技术的发展，服务器面临着越来越多的安全威胁。因此，如何加强服务器的安全防护，是一项迫切需要解决的问题。那么到底该怎么做，才能使服务器更安全呢?今天，我们来谈一谈服务器主动防护的思维和举措。

　　服务器主动防护

　　服务器主动防护，除非自己有专门的安全攻防团队，不然大部分企业都是与安全厂商合作，使用安全防护产品保护服务器的安全，这里跟大家介绍一下安全狗的服务器主动防护产品。

　　比较全能的产品可以试试服务器安全狗这款免费的服务器主动防护软件，可以比较全面的提升网站服务器的防护能力，抵抗一定程度的入侵攻击，有需要的朋友可以自行下载使用。

　　付费的产品可以了解下安全狗的云磐产品，用户可以根据自己的需求进行选择相对应的服务和扩充，以下是云磐产品的介绍。

　　免费服务器安全狗：http://free.safedog.cn/server_safedog.html

　　云磐：一站式云安全SaaS平台：http://www.safedog.cn/index/publicCloudIndex.html

　　安全狗以 SECaaS安全即为用户提供一站 式的云安全产品与服务，包括(云)主机安全、WEB 应用安全、网站防篡改、抗 DDoS 云服务、安全大数据态势感知等，同时平台配备 7*24

　　小时的安全专家服务，真 正为用户构建安全即服务模式的纵深防御产品和服务，为业务发展保驾护航。

　　日志分析及态势感知云服务

　　云磐融合大数据分析技术、可视化技术、威胁情报技术于一体，为企业构建的新一代云安全管理平台。

　　安全大数据分析，全方位融合安全数据，进行多维度智能分析

　　可视化大屏展示，提供整体态势感知、攻防对抗态势、流量访问态势、威胁事件态势四屏展示

　　态势预测，可发现威胁态势的走向，预见风险，防范于未然

　　威胁情报驱动，依托于安全狗观鸿威胁情报服务平台

　　Web应用安全云服务

　　云磐通过网络层过滤和主机层应用自保护(RASP)相结合的技术，既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别，达到双层纵深防御的效果。

　　集中管理网站和WAF防护节点

　　通过平台设置各个防护节点安全策略，并下发至防护节点

　　以可视化的形式统计网站的安全状态，展现网站的风险和威胁

　　集中管理网站和WAF防护节点

　　网页防篡改云服务

　　云磐采用第二代密码水印技术+第三代系统驱动级文件保护技术双结合，对网站安全进行双重防护，具有响应速度快、判断准确、资源暂用少及部署灵活等特点。

　　基于内核驱动防护技术，支持单独文件、文件夹及多级文件夹目录内容篡改保护

　　水印技术阻止被篡改网页流出，并自动恢复被篡改文件

　　支持断线状态下阻止篡改内容流出，返回篡改提示页面

　　完全防护技术，支持大规模连续篡改攻击防护

　　(云)主机安全服务

　　云磐采用先进的端点检测及响应(EDR)技术模型及自适应安全架构相结合的理念思路来构建的新一代 ( 云 ) 主机入侵监测及安全管理云服务系统。

　　解决公有云环境中遇到的安全及管理问题

　　解决新安全形势下数据中心安全问题

　　结合威胁情报进行主机终端异常行为捕获及分析

　　满足 ( 云 ) 等保 2.0 对于主机安全的合规性要求

　　抗DDoS云服务

　　云磐提供了高效流量清洗中心，针对从网络层到应用层的攻击流量进行精确清洗。目前可清洗的流量峰值超过500Gbps。采用即用即开的机制，通过敏锐流量监测机制来弹性判断用户是否需要开启抗D服务。

　　快速感知，弹性控制，可快速适应不同流量的攻击

　　全面抵抗CC攻击以及各种纯流量攻击

　　专家全程参与防御，协助做出最正确的响应措施

　　能力强劲，可清洗的流量峰值超过500Gbps

　　服务器主动防护

　　一、 安全设置

　　1、 加强服务器的安全设置

　　以Linux为操作平台的服务器的安全设置策略，能够有效降低服务器的安全隐患，以确保服务器的安全性。安全设置主要包括：登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。

　　2、加强内网和外网的安全防范

　　服务器需要对外提供服务，它既有域名,又有公网IP，显然存在着一些安全隐患。因此，可以给服务器分配私有的IP地址，并且运用防火墙来做NAT(网络地址转换)，可将其进行隐藏。

　　有些攻击来源于内网，如果把内网计算机和服务器放置在相同的局域网之内，则在一定程度上会增加很多安全隐患，所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问，这样就能极大提高服务器的安全性和可靠性。

　　把服务器连接至防火墙的DMZ(隔离区)端口，将不适宜对外公布的重要信息的服务器，放在内部网络，进而在提供对外服务的同时，可以最大限度地保护好内部网络。

　　3、网络管理员，要不断加强网络日常安全的维护与管理

　　要对“管理员用户名与密码”定期修改;要对服务器系统的新增用户情况进行定时核对，并且需要认真仔细了解网络用户的各种功能;要及时更新服务器系统的杀毒软件以及病毒数据库，必要时，可针对比较特殊的病毒，安装专门的杀毒程序，同时要定期查杀服务器的系统病毒，定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况，需要及时给予妥当处理。因为很多“病毒与木马程序”，都是运用系统漏洞来进行攻击的，所以需要不断自动更新服务器系统，以及定期扫描服务器系统的漏洞。

　　很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取，而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作“肉鸡”，来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是，网络管理员在网站安全的防护上太被动。他们只是被动的防御，而没有进行主动防御和检测。为了彻底提高服务器的安全等级，网站安全需要主动出击。

　　防御吧为用户提供的“云服务器、高防服务器”，具有“木马病毒检测、暴力破解防护、系统漏洞扫描”等基础防护功能。超大防护带宽和超强清洗能力，专门应对各类网站攻击行为，保障用户网站业务服务的正常稳定运行。

　　二、 漏洞测试

　　现在很多企业网站做的越来越复杂、功能越来越强大。不过这些都不是凭空而来的，而是通过代码堆积起来的。如果这些代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上对外服务使用的话，这些为实现特定功能的代码，就有可能成为攻击者的目标。

　　例如：在网页中可以嵌入“SQL代码”，而攻击者就可以利用这些“SQL代码”发动攻击，以此进行“获取管理员用户名和密码”等破坏性的操作。有时候访问某些网站，还需要有某些特定的控件，用户在安装这些控件时，其实就有可能是在安装一个木马(可能访问者与被访问者都没有意识到)。

　　为此在为网站某个特定功能编写代码时，就要主动出击，从代码的设计到编写、再到测试，都需要意识到是否存在着安全漏洞。在日常工作中，在这方面需要对于员工提出较高的要求，各个程序员，必须要对自己所开发的功能负责，已知的“病毒和木马”不能够在其所开发的插件中有机可乘。通过这种层层把关，就可以提高代码编写的安全性。

　　三、全天候的安全监控

　　“冰冻三尺，非一日之寒”，这就好像“人免疫力下降，导致身体生病”一样，都有一个过程。“病毒、木马”等在攻击服务器时，也需要一个过程。或者说，在攻击取得成功之前，它们会有一些试探性的动作。比如，对于一个采取了一定安全措施的服务器，从攻击开始到取得效果，至少要有半天的时间。网站管理员，要对服务器进行全天候的监控，在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种“主动出击”的防御方式，可以极大地提高了服务器的安全性。

　　专门设有一个小组，来全天候的监控服务器的访问，平均每分钟都可以监测到一些试探性的攻击行为。其中99% 以上的攻击行为，由于服务器已经采取了对应的安全措施，结果都无功而返。不过，每天仍然还是会遇到一些攻击行为，这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。如果在服务器上原先没有采取对应的安全措施，或者没有及时的发现这种行为，那么这些攻击就很有可能最终达到他们的非法目的。相反，如果及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，在服务器上关上这扇大门，补上这个漏洞。

　　在这里也建议，企业用户在选择“服务器提供商”的时候，除了考虑性能、硬件配置等因素之外，还要评估“服务提供商”能否提供全天候的安全监控机制。想要提高网站的安全性，在网站安全上就必须要主动出击，及时发现攻击者的攻击行为，在他们采取进一步攻击措施之前，就将攻击行为消除在萌芽状态。

　　防御吧云服务器、高防服务器的管理控制后台，为用户提供了可视化的图表和实时数据，可实时监控网络流量与服务器运行状态，帮助用户随时掌握业务运行动态，遇到突发状况，可部署应急防御。防御吧的数据中心机房，运营维护人员7*24小时全天候轮流值守，当用户租用的服务器发生故障时，可以及时响应，并第一时间进行抢修，最大程度地减少因故障而造成的用户损失。

　　四、设置蜜罐

　　其实在跟“病毒、木马”打交道时，本身就是一场无硝烟的战争。为此，对于服务器采取一些伪装，能够将攻击者引向错误的方向。等到攻击者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早地采取相应的措施。

　　这种主动出击，为攻击方设置“诱饵”的方式，叫做“蜜罐技术”。 “蜜罐技术”，本质上是一种防御方对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对防御方实施攻击，从而防御方可以对攻击行为进行捕获与分析，了解攻击方所使用的工具与方法，推测出攻击的意图和动机，由此能够让防御方清晰地了解到，他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

　　简单的来说，就是设置两个服务器。其中一个是真正的服务器，另外一个则是“蜜罐”。需要做的是，如何将真正的服务器伪装起来，而将“蜜罐”推向公众。让攻击者认为“蜜罐”服务器，才是真正的服务器。

　　要做到这一点的话，需要从如下几个方面出发：

　　1、有真有假，难以区分。如果想要瞒过攻击者的眼睛，那么“蜜罐”服务器就不能够做得太假。在做“蜜罐”服务器的时候，80%以上的内容，都是跟真的服务器相同的，只有一些比较机密的信息，没有放置在“蜜罐”服务器上。而且“蜜罐”服务器，所采取的安全措施，跟真的服务器是完全相同的。这不但可以提高“蜜罐”服务器的真实性，而且也可以用来评估真实服务器的安全性，可谓是一举两得。

　　2、需要有意无意的，将攻击者引向“蜜罐”服务器。攻击者在判断一个服务器是否值得攻击时，会事先进行评估。比如：评估这个网站的流量是否足够高。如果网站的流量不高，那么即使被攻破了，那也没有多大的实用价值。攻击者如果没有利益可图的话，不会花这么大的精力在这个网站服务器上面。

　　想要将攻击者引向这个“蜜罐”服务器，那么就需要提高这个“蜜罐”服务器的访问量。其实要做到这一点也非常容易。现在有很多用来交换流量的团队，只要花一点比较小的投资就可以做到这一点。

　　3、可以故意开一些空子，让攻击者来钻。作为服务器的管理者，不仅需要关心自己的服务器是否安全，还需要知道自己的服务器有没有被人家盯上，或者说，有没有被攻击的价值。此时，管理者就需要知道，自己的服务器一天被攻击了多少次。如果攻击的频率比较高，管理者既应该高兴，又应该忧虑。高兴的是，自己的服务器还是蛮有价值的，被这么多人惦记着。忧虑的是，自己的服务器成为了众多攻击者的目标。此时，应该抽取更多的精力，来关注服务器的安全性。

　　五、攻防测试。

　　俗话说，靠人不如靠自己。在服务器的“攻防战”上，这一原则也同样适用。如果，企业对于网站服务的安全要求比较高，网站服务器上搭载有“电子商务交易平台”，此时最好设置一个专门的团队。让他们充当“攻击者”的角色，对服务器进行模拟攻击。

　　服务器主动防护

　　一、在代码编写时就要进行漏洞测试

　　现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的，是通过代码堆积起来的。如果这个代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上使用的话，则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入SQL代码。而攻击者就可以利用这些SQL代码来发动攻击，来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时，其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。

　　为此在为网站某个特定功能编写代码时，就要主动出击。从编码的设计到编写、到测试，都需要认识到是否存在着安全的漏洞。笔者在日常过程中，在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关，就可以提高代码编写的安全性。

　　二、对Web服务器进行持续的监控

　　冰冻三尺、非一日之寒。这就好像人生病一样，都有一个过程。病毒、木马等等在攻击Web服务器时，也需要一个过程。或者说，在攻击取得成功之前，他们会有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器，从攻击开始到取得成果，至少要有半天的时间。如果Web管理员对服务器进行了全天候的监控。在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种主动出击的方式，就可以大大的提高Web服务器的安全性。

　　笔者现在维护的Web服务器有好几十个。现在专门有一个小组，来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99% 以上的攻击行为，由于服务器已经采取了对应的安全措施，都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为，那么他们就很有可能最终实现他们的非法目的。相反，现在及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，就在服务器上关掉这扇门，补上这个漏洞。

　　笔者在这里也建议，企业用户在选择互联网Web服务器提供商的时候，除了考虑性能等因素之外，还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击，及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前，就他们消除在萌芽状态。

　　三、设置蜜罐，将攻击者引向错误的方向

　　在军队中，有时候会给军人一些“伪装”，让敌人分不清真伪。其实在跟病毒、木马打交道时，本身就是一场无硝烟的战争。为此对于Web服务器采取一些伪装，也能够将攻击者引向错误的方向。等到供给者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早的采取相应的措施。笔者有时候将这种主动出击的行为叫做蜜罐效应。简单的说，就是设置两个服务器。其中一个是真正的服务器，另外一个是蜜罐。现在需要做的是，如何将真正的服务器伪装起来，而将蜜罐推向公众。让攻击者认为蜜罐服务器才是真正的服务器。要做到这一点的话，可能需要从如下几个方面出发。

　　一是有真有假，难以区分。如果要瞒过攻击者的眼睛，那么蜜罐服务器就不能够做的太假。笔者在做蜜罐服务器的时候，80%以上的内容都是跟真的服务器相同的。只有一些比较机密的信息没有防治在蜜罐服务器上。而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。这不但可以提高蜜罐服务器的真实性，而且也可以用来评估真实服务器的安全性。一举两得。

　　二是需要有意无意的将攻击者引向蜜罐服务器。攻击者在判断一个Web服务器是否值得攻击时，会进行评估。如评估这个网站的流量是否比较高。如果网站的流量不高，那么即使被攻破了，也没有多大的实用价值。攻击者如果没有有利可图的话，不会花这么大的精力在这个网站服务器上面。如果要将攻击者引向这个蜜罐服务器的话，那么就需要提高这个蜜罐服务器的访问量。其实要做到这一点也非常的容易。现在有很多用来交互流量的团队。只要花一点比较小的投资就可以做到这一点。

　　三是可以故意开一些后门让攻击者来钻。作为Web服务器的管理者，不仅关心自己的服务器是否安全，还要知道自己的服务器有没有被人家盯上。或者说，有没有被攻击的价值。此时管理者就需要知道，自己的服务器一天被攻击了多少次。如果攻击的频率比较高，管理者就高兴、又忧虑。高兴的是自己的服务器价值还蛮大的，被这么多人惦记着。忧虑的是自己的服务器成为了众人攻击的目标。就应该抽取更多的力量来关注服务器的安全。

　　四、专人对Web服务器的安全性进行测试

　　俗话说，靠人不如靠自己。在Web服务器的攻防战上，这一个原则也适用。笔者建议，如果企业对于Web服务的安全比较高，如网站服务器上有电子商务交易平台，此时最好设置一个专业的团队。他们充当攻击者的角色，对服务器进行安全性的测试。这个专业团队主要执行如下几个任务。

　　一是测试Web管理团队对攻击行为的反应速度。如可以采用一些现在比较流行的攻击手段，对自己的Web服务器发动攻击。当然这个时间是随机的。预先 Web管理团队并不知道。现在要评估的是，Web管理团队在多少时间之内能够发现这种攻击的行为。这也是考验管理团队全天候跟踪的能力。一般来说，这个时间越短越好。应该将这个时间控制在可控的范围之内。即使攻击最后没有成功，Web管理团队也应该及早的发现攻击的行为。毕竟有没有发现、与最终有没有取得成功，是两个不同的概念。

　　二是要测试服务器的漏洞是否有补上。毕竟大部分的攻击行为，都是针对服务器现有的漏洞所产生的。现在这个专业团队要做的就是，这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。有时候我们都没有发现的漏洞是无能为力，但是对于这些已经存在的漏洞不能够放过。否则的话，也太便宜那些攻击者了。

　　关于服务器主动防护就介绍到这里，如果您对于服务器防护有更高的需求或者是遇到无法解决的服务器安全问题，可以向安全狗寻求技术支持，我们会安排专业的技术团队为您提供相应的技术解决方案，保证您的服务器安全稳定运行。